2024년 회고
안녕하세요, 윤석찬입니다. 2024년 다들 세우셨던 목표를 이루셨는지요? 저는 군생활로 여느 해보다 긴 한 해를 보냈습니다. 군생활 동안 이루었던 성과를 공유하고자 이 글을 작성하게 되었습니다.

안녕하세요, 윤석찬입니다.
2024년 다들 세우셨던 목표를 이루셨는지요? 저는 군생활로 여느 해보다 긴 한 해를 보냈습니다. 군생활 동안 이루었던 성과를 공유하고자 이 글을 작성하게 되었습니다.
1. 화이트햇 콘퍼런스, 국방부장관상 수상
국방부 주최 화이트햇 콘퍼런스(콘테스트) 용사부문에서 1위로, 국방부장관상을 수상했습니다.

본선에서는 PHP, Java 문제로 꽤 고전하긴 했습니다. 다만 예선에서는 모던 웹 스택 기반의 문제가 출제되었고 자신있는 분야라, 전체 팀 중 가장 먼저 올 클리어해서 기뻤던 기억이 남습니다. 현역 군인이어서 그런지 대회 우승 후 받은 상금보다 포상휴가 5일이 더 값지게 느껴졌네요 ㅎㅎ;
2. Security Contribution to Django, CPython
2023년에 이어 2024년에도 틈틈히 Django 소스코드를 보았습니다. 덕분에 Django에서 총 4개의 보안 취약점을 찾아 제보할 수 있었습니다.
특히 2023년 Django 소스코드를 처음 보기 시작했을 때 목표로 삼았던 SQL Injection 취약점을 찾아내 제보하여 너무 기뻤습니다.
- CVE-2024-24680: Potential denial-of-service in
intcomma
template filter - CVE-2024-27351: Potential regular expression denial-of-service in
django.utils.text.Truncator.words()
- CVE-2024-41991: Potential denial-of-service vulnerability in
django.utils.html.urlize()
andAdminURLFieldWidget
- CVE-2024-53908: Potential SQL injection in
HasKey(lhs, rhs)
on Oracle
이외에도 Django에서 가장 많이 사용되는 REST API 라이브러리인 django-rest-framework
에서도 잠재적인 XSS를 찾아 제보했습니다. 해당 취약점은 발견부터 제보, 패치, CVE 번호 할당까지 모두 제 스스로 진행했고, 이 공로를 인정받아 Google VRP를 통해 15번째로 bounty를 받은 한국인이 되었습니다.
- CVE-2024-21520: Potential XSS vulnerability in
break_long_headers
template filter

또 Django 코드베이스를 분석하다가 우연히 발견한 CPython의 잠재적인 DoS 취약점을 찾아 제보하기도 했습니다. 이 취약점은 모든 Django 기반 서버에 영향을 미칠 수 있다는 파급력 때문에 흥미롭기도 했습니다.
- CVE-2024-7592: Quadratic complexity parsing cookies with backslashes

3. PyCon KR 발표

국내 최대의 파이썬 컨퍼런스인 PyCon KR (파이콘 한국)에서 발표할 기회를 가졌습니다. Django, CPython, Apache Airflow 등 Python 기반 유명 오픈소스에 보안 컨트리뷰션한 경험을 바탕으로 '해커의 관점에서 바라본 Django Framework'라는 주제로 발표했습니다.
특히 이 자리에서 CPython에 컨트리뷰트한 경험을 바탕으로 코어파이썬 개발자이신 나동희 님과 짧은 이야기를 나눴는데, 그게 저에게는 큰 동기부여가 되었습니다. 후에 동희님께서 Steering Council의 멤버에 선출되셨다는 소식을 듣고 제 소식인 것처럼 기뻤던 기억이 납니다.
4. Security Contribution to Apache Airflow
Airflow는 Apache 재단에서 관리하는 Python 기반의 데이터 파이프라인 및 워크플로 관리 프로젝트입니다. 이 오픈소스 프로젝트에서 2개의 Post-authenticated RCE와 1개의 Stored XSS 취약점을 찾아 제보했습니다.
- CVE-2024-39877: (Apache Airflow) DAG Author Code Execution possibility in airflow-scheduler
- CVE-2024-45034: (Apache Airflow) Authenticated DAG authors could execute code on scheduler nodes
- CVE-2024-39863: (Apache Airflow) Potential XSS Vulnerability
개인적으로는 오픈소스 프로젝트에서 high-severity인 취약점을 처음 찾아 제보하게 되어 뜻깊었습니다. Apache 재단의 빠르고 전문적인 취약점 매니지먼트 프로세스에도 놀랐던 기억이 남습니다.
5. Ruby, Rails, and GitHub finally
저의 오랜 우상인 Orange Tsai 님의 블로그 글이 계기가 되어, 7월부터는 GitHub 및 GitLab 소스코드를 분석하기 시작했습니다. GitHub은 Rails 프레임워크로 작성되었고, 이에 Rails의 소스코드를 보다가 Rails에서 여러 취약점을 발견하게 되었습니다.
- CVE-2024-41128: Possible ReDoS vulnerability in query parameter filtering in Action Dispatch
- CVE-2024-47887: Possible ReDoS vulnerability in HTTP Token authentication in Action Controller
Rails 소스코드를 분석하다가 Ruby는 어떻게 구현되었는지 궁금해서 코드를 보게 되었는데, 운이 좋게도 빌트인 XML 파싱 라이브러리에서도 작은 취약점을 발견하여 제보했습니다.
- CVE-2024-41123: DoS vulnerabilities in REXML
위 3개의 취약점 이외에도 여러 취약점을 발견했는데 아직 resolve가 되지 않았기 때문에 이 글에서는 공개하지 않도록 하겠습니다.
다만 아직 공개되지 않은 취약점 중에는 인터넷에 연결된 임의의 GitHub Enterprise 서버를 다운시킬 수 있는 취약점이 있었고, GitHub 에서도 이러한 우려사항을 보안취약점으로서 인정하여 작은 보상(GitHub Swag)을 획득했습니다.

참고로 GitHub에 유효한 보안 취약점을 제보하게 되면 GitHub Pro 평생 이용권을 받을 수 있습니다!
6. Security Contribution to Java Spring
Java의 대형 웹 프레임워크 Spring으로 작성된 프로그램을 분석하면서 간간히 어떻게 동작하는지 확인하기 위해 소스코드를 읽어보았는데, 운이 좋게도 E-Tag 기능을 사용할 때 발생할 수 있는 서비스 마비 취약점을 발견해 제보했습니다.
- CVE-2024-38809: Spring Framework DoS via conditional HTTP request
7. 기타 주요 취약점 발견
이외에도 말씀드리기엔 다소 힘든 취약점을 여럿 발견했습니다. 그 중엔 세계적으로 사용되는 서비스에서 찾은 것도 있었습니다. 아마 Offensive Security 필드에서 일하시는 분들이시라면 누구나 아실만한 서비스라고 생각됩니다. 2023년의 저였다면 상상도 못할만한 취약점이었기 때문에, 이 연속적인 경험들을 계기로 제 능력에 대해 큰 자신감이 생겼습니다.
이외에도 microsoft가 소유한 레포지토리에서도 high-severity 취약점을 찾아 제보했습니다만, 공개되지는 않은 상태입니다.
8. JLPT 자격증 취득

일본에서 활동하는 얼터너티브 계열, 및 시부야계 밴드 음악에 빠져서 자연스럽게 일본어를 배우게 되었습니다. 하다보니 오기가 생겨서 JLPT N5부터 시작, N3 자격증까지 취득했습니다. N2는 정말 아쉽게 5점이 부족하여 불합격했습니다만, 현재는 전화일본어 수업도 받고 있고 꾸준히 공부해온 결과, 꽤 자신감있게 일본어를 구사할 수 있는 수준에 도달했습니다.
9. 특급 체력 달성
군대에서 규칙적인 삶을 보내며 일주일에 3-4번 정도 꾸준히 트레이닝을 한 결과, 3km 달리기 / 윗몸일으키기 / 팔굽혀펴기 모두 특급을 달성했습니다. 아직은 부끄러운 수준이지만 벤치프레스도 75kg 이상은 들 수 있게 되었습니다.
10. 2025년 각오
군 입대 전에는 Offensive Security 필드에서 제가 잘 해낼 수 있을까 걱정이 많았습니다. 그러나 작년 한해 괄목할만한 성과를 내면서 큰 자신감이 생겼습니다. 저는 올해 Offensive Security 필드에 제 모든 것을 바쳐 진지하게 임하고자 합니다.
2025년에는 아래 목표를 달성해보고자 합니다.
- ZDI에서 인정할만한 취약점 발견하기
- GitHub, GitLab 등 development & management solution 취약점 발견하기
- Django, Rails에서 취약점 발견 및 패치 기여하기
- JLPT N1 합격
군대에서 제 인생을 반성하고 여러 사람들과 부대끼고 살아가면서 배운 점이 참 많습니다. 특히 가장 크게 깨달은 것은 인생에서 '꾸준함'과 '성실함'은 어떻게든 돌아온다는 점입니다. 앞으로도 꾸준하고 성실하게 노력하겠습니다.
마지막으로 2024년에도 인연이 되어주셔서 감사합니다. 2025년도 잘 부탁드리겠습니다. 긴 글 읽어주셔서 감사합니다!
